Nymaim sử dụng địa chỉ MAC để phá hổng môi trường ảo hổng của antivirus

Nymaim, một gia đình phần mềm độc hại được kết nối với một số chiến dịch đòi tiền chuộc trực tuyến trong những năm gần đây, là lấy địa chỉ MAC card mạng và sử dụng chúng để phát hiện ra các môi trường ảo, phá hỏng công cụ tự động phân tích virus trong quá trình này.

Nymaim sử dụng địa chỉ MAC để phá hổng môi trường ảo hổng của antivirus

Môi trường ảo hóa được sử dụng rộng rãi trong các tổ chức lớn đang nhằm đơn giản hóa công việc, theo nhà nghiên cứu SophosLabs Sandor Nemes. Đây cũng là nơi các nhà nghiên cứu chống virus triển khai các sandboxes họ sử dụng để phân tích phần mềm độc hại tự động. Bằng cách đi xung quanh các môi trường ảo hóa, Nymaim mất đi mục tiêu tiềm năng. Nhưng nó thoát khỏi sandbox antivirus tự động hóa, có thể tiết kiệm thời gian tấn công vô cùng quý báo, Nemes nói.

“Malware mà cố tình tránh hiện hành vi thực của nó trên một hệ thống phân tích malware tự động là khó chịu,” ông nói. “Nếu chúng có thể tránh được một sandbox ảo, ai đó đã phân tích mẫu bằng tay, và các tác giả phần mềm độc hại có thể giành chiến thắng trong một vài lần

Nymaim là một Trojan downloader xuất hiện vào năm 2013. Nó cung cấp ban đầu tập tin mã hóa ransomware như Payload cuối cùng của nó. Gần đây tái xuất, và vẫn được sử dụng như một nền tảng phân phối cho các gia đình phần mềm độc hại khác nhau. Một chủng kết hợp mã từ Nymaim với Gozi, mã độc ngân hàng, kết quả trong một gia đình phần mềm độc hại mới được gọi là GozNym.

SophosLabs phát hiện thủ thuật lẫn tránh sandbox của Nymaim trong khi điều tra một chiến dịch thư rác lớn nhắm mục tiêu người dùng chủ yếu nói tiếng Đức. Các nhà nghiên cứu phát hiện ra rằng một mẫu Nymaim khi họ đã nghiên cứu không đúng cách thực hiện trong môi trường nhân rộng VirtualBox dựa trên của phòng thí nghiệm.

chiến dịch thư rác lớn nhắm mục tiêu người dùng chủ yếu nói tiếng Đức
chiến dịch thư rác lớn nhắm mục tiêu người dùng chủ yếu nói tiếng Đức

Đầu tiên chúng ta thấy được rằng mỗi mẫu có một ngày hết hạn ở hardcoded, sau đó nó từ chối chạy hợp lý,” Nemes nói. “Sau khi thay đổi ngày tháng trên máy phân tích, mẫu chạy hơn nữa so với trước đây, hiển thị một hộp thông báo ở dạng text ‘Can not view a PDF in a web browser.’ Sau đó, nó được tải một thư viện đồ họa DirectDraw, và cố gắng không thành công để nạp một DLL không tồn tại, sau đó thoát khỏi nó, nhưng sau đó nó bật ra rằng đây là một phần của chiến thuật đánh lạc hướng của phần mềm độc hại.

Nymaim’s checklist

Phân tích sâu hơn cho thấy rằng khi Nymaim sẽ kiểm tra và thất bại, nó tiếp tục chạy trong một thời gian để làm cho thất bại của nó ít rõ ràng hơn. Danh sách kiểm tra nhận dạng Nymaim  như bên dưới:

  • Kiểm tra ngày tháng hiện tại so với ngày hết hạn trong hardcoded.
  • Kiểm tra các hash của tên người dùng với một danh sách băm tên trong danh sách đen.
  • Kiểm tra các hash của tên tập tin mẫu với một danh sách băm tên tập tin trong danh sách đen.
  • Tính toán một giá trị băm cho mỗi thiết lập biến môi trường. Nếu giá trị kết quả phù hợp với một hardcoded, sau đó nó bỏ qua phần còn lại của trong check. Điều này có lẽ đã được dự định như là một tính năng cho phép gỡ lỗi dễ dàng từ phía tác giả phần mềm độc hại.
  • Kiểm tra địa chỉ MAC của máy tính chống lại một danh sách các nhà cung cấp danh sách đen.
  • Tính toán một giá trị băm cho mỗi tên tập tin trong thư mục C:\Windows  để xem nếu có của họ phù hợp với danh sách các tên tập tin băm vào danh sách đen.
  • Kiểm tra các hash của máy tính chống lại một danh sách đen của băm.
  • Truy vấn các phiên bản BIOS hệ thống và phiên bản BIOS video từ Windows registry và kiểm tra xem nó có chứa “VBox” hoặc “VirtualBox.”

Sử dụng thuật toán băm tùy chỉnh

Nemes nói Nymaim sử dụng băm với một thuật toán tùy chỉnh băm thay vì các chuỗi thực tế, đó là một chiến thuật thông minh bởi vì:

  1. Phải mất ít không gian và băm nhỏ có thể nhìn thấy trong các tập tin hơn là một chuỗi, và
  2. Nhà nghiên cứu sẽ không biết chính xác những gì bên trong nó trừ khi họ bắt đầu brute-force các giá trị băm.

Tôi bắt đầu brute-force các giá trị băm và thấy rằng tên người dùng và tên máy tính được kiểm tra đối với các text ‘sandbox’,” Nemes nói. “Đoạn text được chuyển đổi thành chữ thường trước khi tính toán băm, vì vậy trường hợp không quan trọng. Đó là băm duy nhất tôi có thể phục hồi, vì vậy các chuỗi tương ứng với phần còn lại của giá trị băm vẫn chưa được biết.

Sau đó, đến những khám phá thú vị nhất: thu hồi các địa chỉ MAC từ card mạng Nymaim của.

Nhận dạng môi trường ảo trước khi lây nhiễm

Nymaim gọi đến UuidCreateSequential, tạo ra một UUID – universally unique identifier – bằng cách sử dụng thời gian hiện tại và địa chỉ MAC của card mạng (hai giá trị này đại diện cho một điểm duy nhất trong không gian và thời gian, do đó phải là duy nhất).

Bằng cách này, Nemes cho biết, tác giả phần mềm độc hại có thể trích xuất các địa chỉ MAC bằng gọi API có vẻ vô hại và không phải fiddle xung quanh với công cụ mạng, và có thể tránh việc xử lý các trường hợp góc khi không có card mạng trong máy tính, hoặc nhiều card mạng.

Sau khi gọi đến UuidCreateSequential, giá trị UUID tạo được nhấn mạnh: 519ece456729e6119085-08002712d3e8. Phần đầu tiên được tạo ra bằng cách sử dụng thời gian hiện tại, và phần thứ hai là địa chỉ MAC của máy tính (08:00:27:12:d3:e8).
Sau khi gọi đến UuidCreateSequential, giá trị UUID tạo được nhấn mạnh: 519ece456729e6119085-08002712d3e8. Phần đầu tiên được tạo ra bằng cách sử dụng thời gian hiện tại, và phần thứ hai là địa chỉ MAC của máy tính (08:00:27:12:d3:e8).

3 byte đầu tiên của địa chỉ MAC được biết đến như là OUI (organizationally unique identifier), trong đó xác định duy nhất các nhà cung cấp của card mạng. Việc kiểm tra phần mềm độc hại này đối với danh sách sau đây (hardcoded vào phần mềm độc hại) để tìm ra nếu nó đang chạy trên một cơ sở hạ tầng ảo hóa:

  • F0:1F:AF Dell Inc.
  • 00:50:56 VMware, Inc.
  • 00:0C:29 VMware, Inc.
  • 00:05:69 VMware, Inc.
  • 08:00:27 PCS Systemtechnik GmbH (VirtualBox)
  • 00:03:FF Microsoft Corporation
  • 00:1C:42 Parallels, Inc.
  • 00:16:3E Xensource, Inc.
ảnh chụp màn hình này cho thấy một phần của mã chịu trách nhiệm lặp qua danh sách đen và so sánh nó với địa chỉ MAC.
ảnh chụp màn hình này cho thấy một phần của mã chịu trách nhiệm lặp qua danh sách đen và so sánh nó với địa chỉ MAC.

Spotting phần mở rộng tập tin đáng ngờ

Thực thi đi kèm với một phần mở rộng .com, một định dạng tập tin thực thi cũ mà ngày từ thời kỳ MSDOS. Các phần mềm độc hại là một Windows thực thi thường xuyên và không có gì để làm với các cổ định dạng MSDOS COM, nhưng là ông chủ của Nymaim sử dụng phần mở rộng .com hy vọng họ sẽ tránh AV dựa trên phần mở rộng tập tin để xác định tập tin.

Làm thế nào các tập tin đính kèm có vẻ sau khi mở 2 file zip. Bạn có thể xem các tập tin mở rộng .com ở đây, nhưng nếu bạn chưa thấy hãy thiết lập lại ‘hide known file extensions’ trong Windows.
Làm thế nào các tập tin đính kèm có vẻ sau khi mở 2 file zip. Bạn có thể xem các tập tin mở rộng .com ở đây, nhưng nếu bạn chưa thấy hãy thiết lập lại ‘hide known file extensions’ trong Windows.

Đối với lịch sử, lý do làm ngược khả năng tương thích, Nemes cho biết Windows chạy các tập tin .com khi người dùng khởi chạy nó, ngay cả khi chạy một định dạng ở tập tin MS-DOS cũ bên trong hệ điều hành Windows mới.

Theo ý kiến của tôi, lựa chọn tốt nhất cho người sử dụng là để bỏ chọn các thiết lập của Windows mà ẩn giấu các phần mở rộng tập tin (Folder and search options > View > Hide extensions for known file types), điều này sẽ làm cho nó dễ dàng hơn để phát hiện các tập tin có phần mở rộng đáng ngờ, ” ông nói.

nakedsecurity